Configurazione delle policy di accesso per Performance Insights - Amazon DocumentDB
Associare la mazonRDSPerformance InsightsReadOnly policy A a un principale IAMCreazione di una IAM policy personalizzata per Performance InsightsConfigurazione di una AWS KMS policy per Performance Insights

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione delle policy di accesso per Performance Insights

Per accedere a Performance Insights, è necessario disporre delle autorizzazioni appropriate da AWS Identity and Access Management (IAM). Per concedere l'accesso sono disponibili le seguenti opzioni:

  • Collega la policy gestita AmazonRDSPerformanceInsightsReadOnly a un set di autorizzazioni o a un ruolo.

  • Crea una IAM policy personalizzata e allegala a un set di autorizzazioni o a un ruolo.

Inoltre, se hai specificato una chiave gestita dal cliente quando hai attivato Performance Insights, assicurati che gli utenti del tuo account dispongano delle kms:GenerateDataKey autorizzazioni kms:Decrypt e sulla KMS chiave.

Nota

Per quanto encryption-at-rest riguarda la gestione delle AWS KMS chiavi e dei gruppi di sicurezza, Amazon DocumentDB sfrutta la tecnologia operativa condivisa con Amazon. RDS

Associare la mazonRDSPerformance InsightsReadOnly policy A a un principale IAM

AmazonRDSPerformanceInsightsReadOnlyè una policy AWS gestita che garantisce l'accesso a tutte le operazioni di sola lettura di Amazon DocumentDB Performance Insights. API Attualmente, tutte le operazioni in questo campo sono di sola lettura. API Se si collega AmazonRDSPerformanceInsightsReadOnly a un set di autorizzazioni o un ruolo, il destinatario può utilizzare Performance Insights insieme ad altre funzionalità della console.

Creazione di una IAM policy personalizzata per Performance Insights

Agli utenti che non dispongono della AmazonRDSPerformanceInsightsReadOnly policy, puoi concedere l'accesso a Performance Insights creando o modificando una policy gestita dall'utenteIAM. Quando alleghi la policy a un set di autorizzazioni o a un ruolo, il destinatario può utilizzare Performance Insights.

Per creare una policy personalizzata

  1. Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, selezionare Policies (Policy).

  3. Scegli Create Policy (Crea policy).

  4. Nella pagina Crea politica, scegli la JSON scheda.

  5. Copia e incolla il testo seguente, sostituendolo us-east-1 con il nome della tua AWS regione e 111122223333 con il tuo numero di conto cliente.

    
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rds:DescribeDBInstances",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "rds:DescribeDBClusters",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:DescribeDimensionKeys",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetDimensionKeyDetails",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetResourceMetadata",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetResourceMetrics",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:ListAvailableResourceDimensions",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:ListAvailableResourceMetrics",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        }
    ]
}

  6. Scegliere Review policy (Esamina policy).

  7. Specifica un nome per la policy e, facoltativamente, una descrizione e quindi scegli Create policy (Crea policy).

Ora è possibile collegare la policy a un set di autorizzazioni o un ruolo. La seguente procedura presuppone che si disponga già di un utente disponibile allo scopo.

Per collegare la policy a un utente

  1. Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, seleziona Users (Utenti).

  3. Seleziona un utente esistente dall'elenco.

    Importante

    Per utilizzare Performance Insights, assicurati di avere accesso ad Amazon DocumentDB oltre alla policy personalizzata. Ad esempio, la policy AmazonDocDBReadOnlyAccesspredefinita fornisce l'accesso in sola lettura ad Amazon DocDB. Per ulteriori informazioni, consulta Gestione dell'accesso tramite policy.

  4. Nella pagina Summary (Riepilogo), scegli Add permissions (Aggiungi autorizzazioni).

  5. Scegli Attach existing policies directly (Collega direttamente le policy esistenti). Per Search (Ricerca) digita i primi caratteri del nome della policy, come mostrato di seguito.

    Scelta di una policy

  6. Scegli la policy e quindi seleziona Next: Review (Successivo: Rivedi).

  7. Scegli Add Permissions (Aggiungi autorizzazioni).

Configurazione di una AWS KMS policy per Performance Insights

Performance Insights utilizza an AWS KMS key per crittografare i dati sensibili. Quando abiliti Performance Insights tramite API o la console, hai le seguenti opzioni:

  • Scegli l'impostazione predefinita Chiave gestita da AWS.

    Amazon DocumentDB utilizza la Chiave gestita da AWS per la tua nuova istanza DB. Amazon DocumentDB ne crea uno Chiave gestita da AWS per il tuo AWS account. Il tuo AWS account ha un nome diverso Chiave gestita da AWS per Amazon DocumentDB per ogni AWS regione.

  • Scegli una chiave gestita dal cliente.

    Se specifichi una chiave gestita dal cliente, gli utenti del tuo account che chiamano Performance Insights API necessitano delle kms:GenerateDataKey autorizzazioni kms:Decrypt e sulla KMS chiave. È possibile configurare queste autorizzazioni tramite IAM policy. Tuttavia, ti consigliamo di gestire queste autorizzazioni tramite la tua politica KMS chiave. Per ulteriori informazioni, consulta Utilizzo delle politiche chiave in AWS KMS.

Il seguente esempio di politica chiave mostra come aggiungere istruzioni alla politica KMS chiave. Queste istruzioni consentono l'accesso a Performance Insights. A seconda di come utilizzi la AWS KMS, potresti voler modificare alcune restrizioni. Prima di aggiungere istruzioni alle policy, ai criteri, rimuovi tutti i commenti.

{
 "Version" : "2012-10-17",
 "Id" : "your-policy",
 "Statement" : [ {
    //This represents a statement that currently exists in your policy.
 }
 ....,
 //Starting here, add new statement to your policy for Performance Insights.
 //We recommend that you add one new statement for every RDS/DocumentDB instance
 {
    "Sid" : "Allow viewing RDS Performance Insights",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            //One or more principals allowed to access Performance Insights
            "arn:aws:iam::444455556666:role/Role1"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition" :{
        "StringEquals" : {
            //Restrict access to only RDS APIs (including Performance Insights).
            //Replace *region* with your AWS Region. 
            //For example, specify us-west-2.
            "kms:ViaService" : "rds.*region*.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
            //Restrict access to only data encrypted by Performance Insights.
            "kms:EncryptionContext:aws:pi:service": "rds",
            "kms:EncryptionContext:service": "pi",
            
            //Restrict access to a specific DocDB instance.
            //The value is a DbiResourceId.
           "kms:EncryptionContext:aws:rds:db-id": "db-AAAAABBBBBCCCCDDDDDEEEEE"
        }
    }
}